Перейти к содержимому
Калькуляторы

MT настройка IPSEC Не могу найти ошибку

Ответить

Alexey_G   

Alexey_G
Опубликовано · Жалоба

Есть следующая схема:

192.168.17.0/24 - MT1 - VLAN провайдера - MT2 - 10.17.18.64/26

 

Настройки:

MT1:

/interface vlan
add interface=lacp name=vl-101-lacp vlan-id=101
add interface=lacp name=vl-1480-lacp vlan-id=1480

/ip address
add address=192.168.17.254/24 interface=vl-101-lacp network=192.168.17.0
add address=192.168.23.5/30 interface=vl-1480-lacp network=192.168.23.4
add address=192.168.23.9/30 interface=ipip-tun-1 network=192.168.23.8

/interface ipip
add !keepalive local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

/routing ospf instance
set [ find default=yes ] metric-other-ospf=30 redistribute-connected=as-type-1

/routing ospf interface
add interface=ipip-tun-1 network-type=point-to-point

/routing ospf network
add area=backbone network=192.168.23.8/30

/ip ipsec peer
add address=192.168.23.10/32 secret=111

/ip ipsec policy
add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32

 

MT2:

/interface vlan
add interface=ether1 name=vl-1480-1 vlan-id=1480
add interface=ether3 name=vl-rpc3-1018 vlan-id=1018

/ip address
add address=10.17.18.126/26 interface=vl-rpc3-1018 network=10.17.18.64
add address=192.168.23.6/30 interface=vl-1480-1 network=192.168.23.4
add address=192.168.23.10/30 interface=ipip-tun-1 network=192.168.23.8

/interface ipip
add !keepalive local-address=192.168.23.6 name=ipip-tun-1 remote-address=192.168.23.5

/routing ospf instance
set [ find default=yes ] redistribute-connected=as-type-1

/routing ospf interface
add interface=ipip-tun-1 network-type=point-to-point

/routing ospf network
add area=backbone network=192.168.23.8/30

/ip ipsec peer
add address=192.168.23.9/32 secret=111

/ip ipsec policy
add dst-address=192.168.23.9/32 sa-dst-address=192.168.23.9 sa-src-address=192.168.23.10 src-address=192.168.23.10/32

 

Маршруты в удаленную сеть на MT1:

/ip route> pr
       DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
ADo     10.17.18.64/26                     192.168.23.10      110

 

Маршруты в удаленную сеть на MT2:

/ip route> pr
       DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
ADo     192.168.17.0/24                    192.168.23.9       110

 

Теперь ставлю эксперимент, на МТ1:

/ip ipsec peer
set 0 secret="1"

 

Сети 192.168.17.0/24 - 10.17.18.64/26 доступны, 192.168.23.10 - 192.168.23.9 нет.

 

Связь же должна пропасть или не прав? Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Как шифровать трафик в канале провайдера?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov   

nkusnetsov
Опубликовано (изменено) · Жалоба

Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля.

Изменено пользователем nkusnetsov

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alexey_G   

Alexey_G
Опубликовано · Жалоба

Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется?

Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля.

Да, хочу шифровать туннель.

 

Но при попытке создания туннеля с ipsec-secret - ошибка:

/interface ipip
add local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 ipsec-secret=123

cannot enable fastpath together with ipsec yet

 

Пробовал отключить fastpath в /ip settings - не помогло.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov   

nkusnetsov
Опубликовано (изменено) · Жалоба

Alexey_G, цитата из вики:

"eoip, gre, ipip interfaces (since 6.33). Eoip, gre, ipip interfaces have per interface setting "allow-fast-path". ..."

 

То есть, вам надо явно указать для IPIP-туннеля еще один параметр параметр "allow-fast-path=no"

Например:

/interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

Изменено пользователем nkusnetsov

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov   

nkusnetsov
Опубликовано (изменено) · Жалоба

Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете.

Изменено пользователем nkusnetsov

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alexey_G   

Alexey_G
Опубликовано · Жалоба

Alexey_G, цитата из вики:

Например:

/interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6

Спасибо, так заработало

 

Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете.

Сетей за MT1 и MT2 много, если в туннельном режме настраивать, то правила для каждого пересечения сетей прописывать или можно одним policy обойтись?

 

Вроде такого:

/ip ipsec policy add src-address=192.168.0.0/26 dst-address=192.168.0.0/26 action=encrypt tunnel=yes sa-src-address=192.168.23.5 sa-dst-address=192.168.23.6

 

А так, конечно не хочется производительность снижать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov   

nkusnetsov
Опубликовано (изменено) · Жалоба

Alexey_G, если у вас точек подключения к VLAN больше двух, то правила всё равно придется писать отдельно, т.к. для каждого конца IPSEC-соединения нужно использовать свой "sa-dst-address", вот как у Вас "... sa-dst-address=192.168.23.6"

А если только два, MT1 и MT2, тогда можно агрегировать подсети в одно правило.

Изменено пользователем nkusnetsov

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alexey_G   

Alexey_G
Опубликовано (изменено) · Жалоба

Сами MT соеденены одним каналом.

При туннельном режиме придется вообще в правилах прописать 0.0.0.0/0, т.к. весь трафик с MT2 будет проходить через MT1.

Попробую в обоих режимах настроить и протестировать.

Насколько я понял, если в src-address/dst-address прописать 0.0.0.0/0, то весь трафик, подпадающий под это условие уйдет в IPSec туннель, вне зависимости от настроек маршрутизации?

Если так, то мне только транспортный режим подходит.

 

Кстати, нашел почему не работала первоначальная конфигурация:

/ip ipsec policy
add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32

 

Т.е. IPSec внутри туннеля, а надо снаружи:

/ip ipsec policy
add dst-address=192.168.23.5/32 sa-dst-address=192.168.23.5 sa-src-address=192.168.23.6 src-address=192.168.23.6/32

Изменено пользователем Alexey_G

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik коммутаторы и маршрутизаторы